Una nota aclaratoria, esto no pretende ser un tutorial sobre cómo exportar volúmenes NFS sino una breve introducción explicativa para apoyar lo que mostraré en la entrada que crearé en breve. 😁

Instalación servicio NFS

Lo primero que vamos a hacer es instalar los paquetes necesarios para disponer del servicio NFS.

[ignacio@centos7 ~]$ sudo dnf install nfs-utils

Si tenemos habilitado SELinux en el servidor hay que permitir su uso, por lo que hay que ejecutar este comando.

[ignacio@centos7 ~]$ sudo setsebool -P nfs_export_all_ro=1 nfs_export_all_rw=1

El siguiente paso es abrir los puertos necesarios en el cortafuegos. Esto lo hacemos en dos pasos, el primero sirve para añadir las excepciones del servicio y el segundo para forzar el cortafuegos a recargar la configuración que hemos modificado.

[ignacio@centos7 ~]$ sudo firewall-cmd --permanent --add-service nfs
success
[ignacio@centos7 ~]$ sudo firewall-cmd --reload
success

El siguiente paso es habilitar los servicios para que se inicien con el inicio del servidor.

[ignacio@centos7 ~]$ sudo systemctl enable rpcbind nfs-server
Created symlink from /etc/systemd/system/multi-user.target.wants/nfs-server.service to /usr/lib/systemd/system/nfs-server.service.

Y ahora vamos a iniciar los servicios para poder pasar a la parte de configuración.

[ignacio@centos7 ~]$ sudo systemctl start rpcbind nfs-server

Configuración servicio NFS

El primer paso es crear el directorio que vamos a exportar, en mi caso /datos.

mkdir /datos

Como segundo paso vamos a modificar el fichero exports para configurar una exportación del directorio datos en modo lectura para cualquier usuario. En mi caso lo voy a exportar a cualquier IP porque es un laboratorio. Si vais a montar esto en un entorno más serio, por favor, indicad solo la IP desde la que vais a acceder.

cat /etc/exports
/datos *(ro,sync)

En el siguiente paso vamos a forzar la exportación del nuevo volumen mediante el siguiente comando.

root@centos7 ignacio]# exportfs -arv<br />exporting *:/datos</span></p>

Por último, vamos a comprobar que el directorio se encuentra correctamente exportado y accesible.

[ignacio@centos7 ~]$ sudo exportfs -s
/datos *(sync,wdelay,hide,no_subtree_check,sec=sys,ro,secure,root_squash,no_all_squash)

Bueno y con esto hemos terminado por hoy. 🏁

Doy por entendido que tienes un conocimiento básico de lo qué es una interfaz puente y que conoces el comando nmcli. En caso contrario, busca un poco por Internet e infórmate de si realmente necesitas crear este tipo de interfaz. 😜

Crear la interfaz puente

El primer paso es crear la interfaz puente mediante el siguiente comando:

$ sudo nmcli con add ifname br0 type bridge con-name br0
Conexión «br0» (9a659c12-715f-4186-add1-fa92a1b7fd25) añadida con éxito.

Ahora tenemos que crear la interfaz esclava que vincularemos con nuestro puente

$ sudo nmcli con add type bridge-slave ifname enp8s0 master br0
Conexión «bridge-slave-enp8s0» (5009e0de-0e28-448c-b1b4-91dd4053232e) añadida con éxito.

En mi caso voy a desactivar spanning tree (STP) porque no me hace falta.

$ sudo nmcli con modify br0 bridge.stp no

Verificamos que todo está configurado como queremos.

$ nmcli -f bridge con show br0
bridge.mac-address:                     -- 
bridge.stp:                             no
bridge.priority:                        32768 
bridge.forward-delay:                   15 
bridge.hello-time:                      2 
bridge.max-age:                         20 
bridge.ageing-time:                     300 
bridge.group-forward-mask:              0 
bridge.multicast-snooping:              sí 
bridge.vlan-filtering:                  no 
bridge.vlan-default-pvid:               1 
bridge.vlans:

Como yo tengo activa la interfaz por defecto que genera Fedora, tengo que desactivarla para poder utilizar la nueva interfaz puente.

$ sudo nmcli con down "Conexión cableada 1"
$ sudo nmcli con up br0
$ nmcli con show
NAME     UUID                                  TYPE      DEVICE  
br0      9a659c12-715f-4186-add1-fa92a1b7fd25  bridge    br0     
virbr0   b994e990-6364-4fa8-afaf-3016881b4cfb  bridge    virbr0  
enp8s0   5009e0de-0e28-448c-b1b4-91dd4053232e  ethernet  enp8s0

Crear la interfaz en VMM

Hay que crear el siguiente fichero XML que nos permitirá definir la interfaz puente en VMM. En mi caso lo he ubicado en la carpeta /tmp y lo he llamado br0.xml

<network>
  <name>br0</name>
  <forward mode="bridge"/>
  <bridge name="br0" />
</network>

Ahora ejecutamos el siguiente comando para importar el fichero XML y que se genere la interfaz puente.

$ sudo virsh net-define /tmp/br0.xml
$ sudo virsh net-start br0

La red br0 se ha iniciado

$ sudo virsh net-autostart br0
La red br0 ha sido marcada para iniciarse automáticamente 
$ sudo virsh net-list --all 
Nombre   Estado   Inicio automático   Persistente 
---------------------------------------------------- 
br0      activo   si                  si 
nat      activo   si                  si

Si abrimos la consola de VMM ya podemos ver que se ha creado la nueva interfaz y está lista para ser usada con nuestras máquinas virtuales.

Máquina servidor

Lo primero es instalar el paquete de EPEL para posteriormente instalar el paquete knock-server. También es necesario instalar libpcap.

[root@knockd ~]# yum install libpcap

[...]

[root@knockd ~]# yum install epel-release

[...]

[root@knockd ~]# yum install knock-server

[...]

El siguiente paso es eliminar de nftables la regla que permite las conexiones SSH remotas mediante el siguiente comando. Ten en cuenta que en mi instalación se usa la zona por defecto llamada public.

[root@knockd ~]# firewall-cmd --zone=public --remove-service=ssh --permanent
success
[root@knockd ~]# firewall-cmd --reload

El siguiente paso es modificar el fichero /etc/knockd.conf y dejarlo con el siguiente contenido. Por favor, cambiad los puertos a otra secuencia. 😜

[options]
        UseSyslog

[opencloseSSH]
        sequence      = 51234:udp,55678:tcp,59124:udp
        seq_timeout   = 15
        tcpflags      = syn,ack
        start_command = /bin/firewall-cmd --zone=public --add-rich-rule "rule family="ipv4" source address="%IP%" service name="ssh" accept"
        cmd_timeout   = 10
        stop_command  = /bin/firewall-cmd --zone=public --remove-rich-rule "rule family="ipv4" source address="%IP%" service name="ssh" accept"

El último paso es habilitar e iniciar el servicio knockd.

sudo systemctl enable knockd && sudo systemctl start knockd

Máquina cliente

En la máquina cliente desde la que vamos a acceder por SSH es necesario instalar el cliente de knock. Al igual que en el servidor es necesario disponer del repositorio EPEL.

yum install epel-release

[...]

yum install knock

[...]

Vamos a una un primer intento de conexión mediante SSH para que veamos que no es posible conectar.

[ignacio@knock-client ~]$ ssh root@192.168.122.186
ssh: connect to host 192.168.122.186 port 22: No route to host
[ignacio@knock-client ~]$  

Ahora vamos a usar el cliente de knock que hemos instalado para hacer la “llamada” y que se abra la puerta.

[root@knock-client ~]# knock -v -d 1 192.168.122.186 51234:udp 55678:tcp 59124:udp
hitting udp 192.168.122.186:51234
hitting tcp 192.168.122.186:55678
hitting udp 192.168.122.186:59124
[root@knock-client ~]# ssh root@192.168.122.186
root@192.168.122.186's password:  
Last failed login: Sun Aug  1 20:51:14 WEST 2021 from knock-client on ssh:notty
Last login: Sun Aug  1 20:25:03 2021 from knock-client
[root@knockd ~]# 

En el fichero messages del servidor podemos ver lo siguiente:

Aug  1 20:51:26 knock-client knockd: 192.168.122.136: opencloseSSH: Stage 1
Aug  1 20:51:26 knock-client knockd: 192.168.122.136: opencloseSSH: Stage 2
Aug  1 20:51:26 knock-client knockd: 192.168.122.136: opencloseSSH: Stage 3
Aug  1 20:51:26 knock-client knockd: 192.168.122.136: opencloseSSH: OPEN SESAME
Aug  1 20:51:26 knock-client knockd: opencloseSSH: running command: /bin/firewall-cmd --zone=public --add-rich-rule "rule family="ipv4" source address="192.168.122.136" service name="ssh" accept"
Aug  1 20:51:31 knock-client systemd-logind: New session 4 of user root.
Aug  1 20:51:31 knock-client systemd: Started Session 4 of user root.
Aug  1 20:51:37 knock-client knockd: 192.168.122.136: opencloseSSH: command timeout
Aug  1 20:51:37 knock-client knockd: opencloseSSH: running command: /bin/firewall-cmd --zone=public --remove-rich-rule "rule family="ipv4" source address="192.168.122.136" service name="ssh" accept"

Hay que ver cómo está el patio, ¡la máquina encendida llevaba cinco minutos encendida! Así que después de cambiar en el servicio SSH que solo se pueda autenticar mediante claves, lo siguiente ha sido instalar Fail2ban.

Instalación de Fail2ban en CentOS

El primer paso es instalar el repositorio EPEL, si no lo tiene hecho ya, claro.

dnf install epel-repo

Después tenemos que instalar el paquete fail2ban.

dnf install fail2ban

Configuración de Fail2ban

En mi caso, al menos por ahora, voy a dejar la configuración por defecto. En el fichero /etc/fail2ban/jail.conf, está toda la configuración por si queréis modificarla.

Creación de la jaula para SSHD

Hay que crear el fichero que contendrá la configuración de la jaula para el servicio SSHD. Creamos el fichero /etc/fail2ban/jail.d/sshd.local y dentro ponemos el siguiente contenido:

[sshd]
enabled = true

Activación del servicio Fail2ban

Una vez que hemos completado la configuración de Fail2ban, lo siguiente es activar el servicio para que empiece a vigilar por nosotros. 😉

systemctl enable --now fail2ban
Created symlink /etc/systemd/system/multi-user.target.wants/fail2ban.service → /usr/lib/systemd/system/fail2ban.service.

Verificación del estado del servicio Fail2ban

Verificamos que se ha iniciado correctamente con la jaula definida.

fail2ban-client status
Status
|- Number of jail:    1
`- Jail list:    sshd

Comprobamos cómo va la cosa

Dejamos pasar un par de minutos y vamos a ver cuántas IP bloqueadas tenemos.

fail2ban-client get sshd banned
['xxx.xxx.xxx.xxx', 'xx.xx.xx.xxx', 'xx.xx.xxx.xxx', 'xxx.xxx.xxx.xxx', 'xx.xx.xxx.xxx', 'xxx.xxx.xxx.xxx', 'xx.xxx.xxx.xxx', 'xx.xxx.xxx.xx', 'xxx.xxx.xx.xx', 'xx.xx.xxx.xxx']

La nueva versión trae muchas mejoras, como es evidente, pero las principales serían el soporte UEFI y el nuevo instalador que permite agilizar y simplificar la instalación.

Para obtener más detalles sigue este enlace.

—

Good news for Debian’s users. Neil McGovern has confirmed by a statement that Debian 7 “Wheezy” will be published between 4th and 5th of May. It may seem an irrelevant fact but considering that version 6 was released in February of 2011 I think it deserves at least a review.

The new version brings many improvements, as is evident, but principals would support be UEFI and the new installer that allows to speed up and simplify installation.

For more details follow this link.

No entiendo porque tengo que hacer dos clic para cerrar una ventana. Tampoco entiendo porque no puedo personalizar mi escritorio desde un simple clic en vez de una aplicación como Gnome Tweak Tool que no es precisamente muy usable, no entiendo porque necesito un mapa para encontrar las aplicaciones en vez de tener un menú único,…

En resumen, demasiados cambios incomprensibles para algo que debería ser una herramienta de trabajo.

Será que me estoy volviendo viejo, pero todas las ventajas a las que tanto bombo y platillo se han dado a esta versión de Gnome, ¡estaban ya en la versión anterior! Así que me tome el trabajo de instalar MATE para volver a lo que sé que funciona, a lo que siempre me ha parecido perfecto desde el ¡2002!, el vetusto Gnome 2.

Por cierto, el comando para hacerlo es

$ su -c ‘yum groupinstall “MATE Desktop”

• Lo primero es instalar los repositorios necesarios, en este caso los de LIVNA:

• Y ahora instalamos los codecs multimedia: